METODOLOGIA INTEGRAL PARA EL DESARROLLO DE AUDITORÍAS INFORMÁTICAS - MIDAI - COMO HERRAMIENTA MENTAL Ing. Gladys Leonor Coronado Farroñán Universidad Católica Santo Toribio de Mogrovejo RESUMEN En este mundo globalizado se aprecia como la tecnologías de información van cambiando a medida que surgen necesidades y requerimientos por parte de los usuarios que interactúan con ellas, al mismo tiempo se aprecia como las mismas y su utilización traen consigo algunos riesgos que en su mayoría son perjudiciales y conllevan a pérdidas altamente impactantes en las entidades; ante esa disyuntiva es importante saber si dicho servicio informático en las que se encuentran implantadas dichas tecnologías, está funcionando adecuadamente con riesgos mínimos, que conlleven a una mejor productividad en las empresas del medio, esa evaluación que hace notar que es lo que esta yendo o no por buen camino en relación a la parte de informática, se llama Auditoria en Informática. He aquí que surge el problema de qué procedimiento seguir para realizar Auditoria en Informática de forma integral, esto implica evaluar el Hardware, Software, Infraestructura, Usuarios, Gestión, Telecomunicaciones, etc., ya que en la mayoría de las empresas siempre se revisa de forma individual cada área informática encontrándose redundancia en las relaciones de las mismas, aún más cuando esta evaluación se realiza de forma integral, por ello es que se realiza MIDAI, para buscar e identificar de manera práctica y acertada procedimientos para evaluar como un todo al servicio informático sin redundancia guardando relación entre las áreas básicas a evaluar, identificando objetivos de control, técnicas y herramientas que puedan ayudar al auditor a realizar su trabajo en empresas, grandes, medianas y pequeñas las cuales se relacionan con el sector público ó privado. Palabras claves: Control, Control interno informático, Auditoria informática, herramienta, fuentes, metodología, MIDAI. FUNDAMENTACIÓN de la MIDAI En un entorno empresarial de constantes cambios, encarar el futuro implica la constante evaluación de la capacidad de respuesta que tienen las entidades hacia sus clientes, competidores, su propia cultura organizacional y el discernimiento que realiza la misma de lo que es y aspira ser. Realizar este proceso, requiere tomar en consideración al desarrollo
tecnológico, el cual tiene como finalidad brindar al ser humano mejores perspectivas y mayores comodidades. Dicha complejidad y diversidad tecnológica actual y su respectivo avance en cuanto a informática en un mundo global e interconectado; han obligado a las entidades a implementar y fijar ciertos controles y estándares de seguridad mínimos que permitan hacer frente a los innumerables riesgos provenientes del interior y exterior de las mismas, logrando cumplir al mismo tiempo los objetivos del negocio y proteger los activos que comprenden. Dichos controles y estándares de seguridad forman parte del Control. El control es esencialmente un factor de supervivencia de las entidades. La implementación y aplicación de controles en una organización está orientada a garantizar una mayor eficiencia y eficacia en las diferentes actividades que se dan al interior de la misma, manteniendo la fiabilidad de sus resultados y así agregar valor; para evaluar dicho control, es que nace la Auditoria Informática, la cual debe ser respaldada por un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la entidad. Al igual que otras funciones en la entidad, la auditoria en informática efectúa sus tareas y actividades mediante una metodología Para los auditores el proceso de auditoria en informática debe de generar una tendencia permanente al mejoramiento del servicio informático, a través de la revisión periódica de diversos aspectos y la consulta permanente; lo que hace necesitar de una metodología que enmarque diferentes aspectos satisfaciendo tanto los requerimientos de los organismos de control como la necesidad de mejoras en la gestión de la empresa. Es por ello que se ha estructurado, desarrollado y enfocado esta obra la cual es denominada "Metodología Integral para el Desarrollo de Auditorías Informáticas", en ayuda de quienes realizan auditorias en informática y son encargados del control. OBJETIVOS DE LA METODOLOGÍA Los principales objetivos que tiene la metodología integral para el desarrollo de auditorías en informática son: Definir etapas o secuencias del proyecto de auditoría tales como la Planificación, Adecuación, Formalización, Desarrollo e Informe Final, asimismo recursos y toda la información solicitada que debe participar. Definir clara y detalladamente los requerimientos y condiciones que justifiquen cada proyecto de auditoría en informática. Implementar procedimientos que supervisen a los controles que ha implantado la entidad, los cuáles sean útiles a la alta dirección de los negocios para diseñar nuevos controles y les permita dar seguimiento a los mismos de forma integral o en algunos de sus componentes. Especificar cuales son las debilidades o carencias de políticas y procedimientos existentes en las áreas relacionadas con informática que generen la necesidad de una auditoría. Proponer diferentes objetivos de control de acuerdo a cada área de revisión de forma tal que se logre auditar en forma íntegra al servicio informático.
Formular diferentes pruebas de control en cada objetivo que se propone las cuales permitirán llegar a examinar a fondo los aspectos relacionados al servicio informático. Enfocar diferentes fuentes a revisar en cada prueba a realizar por cada objetivo de control que se plantea en el desarrollo del proceso de auditoría. Especificar funciones y responsabilidades del personal que participará en los proyectos de auditoría en informática a quienes se les menciona como participantes en cada área. Definir técnicas y herramientas en el proceso metodológico de cada proyecto de auditoría en informática. Precisar esquemas y papeles de trabajo que servirán de ayuda al auditor en informática. MIDAI COMO UNA HERRAMIENTA MENTAL Una herramienta mental ayuda a que los procesos se realicen de forma acertada y eficiente para lograr los objetivos esperados, MIDAI viene a constituirse como una herramienta mental que ayuda al auditor a seleccionar los procesos a seguir en el desarrollo de su actividad. Las fases de la MIDAI se esbozan en el siguiente esquema. PLANIFICACIÓN Diagnóstico Preliminar Identificación y Justificación ADECUACIÓN FORMALIZACIÓN DESARROLLO SEGUIMIENTO Fig 1. Estrategia para implantar un proceso metodológico integral para el desarrollo de auditorías en informática La tabla siguiente describe las etapas de la metodología integral para el desarrollo de auditorías en informática y los datos generales relacionados con la misma. Tabla 7.1. Etapas de la metodología integral para el desarrollo de auditorías en informática ETAPA PRODUCTOS FINALES REQUERIMIENTOS PARTICIPANTES
ETAPA PRODUCTOS FINALES REQUERIMIENTOS PARTICIPANTES Planificación 1.Diagnóstico Preliminar. Diagnóstico del negocio. Diagnóstico de informática. Involucramiento de la dirección. Información proporcionada veraz y fuentes respectivas. LA/ AD/ AI/ RAI/ RI 2.-Identificación y justificación. Matriz de Riesgos. Plan de Auditoría en informática. Análisis de riesgos y áreas a auditar. Definir responsables y tiempos. LA / RAI / RI Adecuación Plan detallado y metodología de acuerdo a las necesidades de la entidad. Entendimiento de la organización y de la función de la informática. Detallar pruebas a seguir y los tiempos requeridos adaptados a la realidad. LA / AI / RAI / RI / US Formalización Plan aprobado. Compromiso ejecutivo. Aprobación formal (firmas). Respaldo y apoyo del proyecto. AD / RI / RAI / US Desarrollo Examen exhaustivo de áreas seleccionadas. Informe de auditoría en informática realizada. Aprobación de la dirección. Asignar responsables y tiempos para cada acción recomendada. LA / AD / PI / US / RI AI / RAI / otros Seguimiento Recomendaciones y acciones terminadas a implantar. Seguimiento en calidad de apoyo. Compromiso ejecutivo. Basarse en plan de implantación asimismo verificar su cumplimiento (de contrastación de lo que se realiza con lo que se sugiere.). RI / US / LA / AI / RAI Nomenclatura: AD = Alta dirección, US = usuarios, RI = Responsable del área de informática, PI = Personal de informática, RAI = Responsable del área de Auditoría en informática, LA = Líder del proyecto de auditoría, AI =Auditor en informática. 1) PLANIFICACIÓN: La función de auditoría en informática debe generar, como todas las áreas de la entidad, un plan de proyectos que justifiquen su trabajo durante cierto período; de igual manera, cada uno de los proyectos tendrá que contemplar un análisis costo/ beneficio y la estructura de los mismos con un enfoque metodológico con el fin de que esta función sea evaluada según su desempeño, con posibles parámetros concretos y mensurables, para ello esta fase se vale de dos sub fases como son: a) Diagnóstico Preliminar.- Es el primer paso práctico que realiza el auditor en informática en la entidad, al efectuar un proyecto de auditoría en informática. La finalidad de su realización, es revisar la situación actual de la entidad y tener una apreciación global de la misma b) Identificación y justificación.- Se definen el alcance y objetivos de la misma al mismo tiempo que se elabora la matriz de para visualizar las áreas que se auditarán, las cuales se resumen en seis áreas las cuales son: Gestión de las SI/TI, Soporte Tangible, Soporte Intangible, Redes y Telecomunicaciones, Innovación Tecnológica y Normativa en informática.
c) Plan general de auditoria en informática.- Enmarca el alcance, objetivos de la auditoria, establece tareas, tiempos, responsabilidades, etc., del proyecto. d) Compromiso ejecutivo 2) ADECUACION: Las tareas ejecutadas en esta etapa, tienen como objetivo principal adecuar todo el proyecto a las características del negocio, sin olvidar las referencias de los estándares, políticas y procedimientos de auditoría en informática comúnmente aceptados y recomendados por las asociaciones relacionadas con el proceso, así como las formuladas y aprobadas de manera particular en los negocios para informática. 3) DESARROLLO: Después de superar la parte metódica y conceptual del proyecto, hay que poner en práctica la auditoría en informática. Es la etapa más importante para el auditor en informática porque aquí ejerce su función. 4) SEGUIMIENTO: La presente etapa es importante para los involucrados en el proyecto de auditoría en informática 1 que por decirlo de alguna manera, termina para los auditores y empieza para los responsables de las áreas usuarias y de informática, ya que ellos ejecutarán las acciones recomendadas en los informes de la alta dirección. La función del auditor en informática pasa a ser de seguimiento y apoyo si lo requiere la entidad. VENTAJAS DE LA METODOLOGÍA El uso de la metodología integral genera las siguientes ventajas: Elimina el proceso informal de trabajo al realizar auditorías en informática ya que se facilita en alto grado la administración y seguimiento de los proyectos, pues la metodología obliga a la planeación detallada de cada proyecto bajo criterios estándares. Los recursos orientan sus esfuerzos a la obtención de productos de calidad, con características y requisitos comunes para todos los responsables. Los objetivos de control, pruebas, fuentes y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de todos los auditores en informática. Es un complemento clave en el desarrollo de cada individuo, ya que su formal seguimiento, aunado a las habilidades, normas y criterios personales coadyuva al cumplimiento exitoso de los proyectos de auditoría en informática. El proceso de capacitación o actualización en el uso de la MIDAI es más ágil y eficiente, dado que se trabaja sobre pruebas y productos terminados perfectamente definidos. Facilita la superación profesional y humana de los involucrados, ya que orienta los esfuerzos a la especialización, responsabilidad, estructuración y depuración en las funciones del auditor en informática. CONCLUSIONES 1 Por ello se ha colocado en líneas discontinuas porque la tarea del auditor es solo de apoyo para la implantación de las sugerencias emitidas en el informe final, es decir no necesariamente se le considera dentro de los procesos principales dentro de la metodología.
La MIDAI se ha realizado con el objeto de integrar ciertas metodologías dispersas independientes, tratando de normalizar los objetivos de control, ya que en ciertas metodologías referidas a la Auditoría en Informática, existían redundancias y otras no consideraban aspectos importantes que debían de revisarse. De tal forma concluimos que la MIDAI expone un proceso metodológico a seguir, y reúne los aspectos fundamentales a revisar, en el desarrollo de la Auditoría del Servicio Informático en la entidad. La MIDAI es llamada metodología ya que reúne un conjunto de etapas (fases o módulos) formalmente estructurados, pero aún más manifiesto que ha sido elaborado bajo tres dimensiones los cuales son: Plano Metodológico.- Donde se escalonan en secuencia lógica las fases tales como la Planeación, Adecuación, Formalización, Desarrollo y Seguimiento. Plano Instrumental.- En donde se expresa cómo? y con qué? herramientas, técnicas y métodos se va a llevar a cabo lo que se manifestó en el plano metodológico. Plano Paradigmático.- En donde se sitúa la metodología respecto de un paradigma o marco, el cual se caracteriza por ser un Modelo Integral. Es llamada Integral, porque "reúne las partes que entran en composición de un todo", cuando se dice que se ha tratado de integrar decimos que vamos a "Formar las partes de un todo" ó "completar un todo con las partes que faltaban". Las fuentes de revisión, son las máximas posibles que se tomarían en cada punto de prueba de la auditoria, dichas fuentes, servirán, para la realización del cotejo de lo que se encuentra y lo que debería de ser, en el desarrollo de la Auditoría en Informática; las mismas han sido codificadas, para poder así facilitar su utilización al igual que los participantes, las técnicas y herramientas utilizadas Los cuestionarios están inmersos indirectamente en las pruebas de control a realizar en cada objetivo referido a la guía metodológica, se ha creído conveniente que cada auditor los extraiga directamente elaborándolos y adaptándolos, teniendo como base dicha guía, de acuerdo a sus criterios, requerimientos y al alcance que enmarque la auditoría en informática que realiza. Asimismo los papeles de trabajo sirven de ayuda al auditor y equipo para recoger, analizar, elaborar y concluir la información que él y ellos requieran. Bibliografía LIBROS Y SEPARATAS DE CONSULTA Consejo de Auditoría Interna General de Gobierno. "Auditoría Interna de Gobierno, La experiencia chilena 1994/1999". Presidencia de la República de chile. Santiago - Chile. Editorial Antártica Quebecor. Primera Edición. Mayo de 1999. Echenique G. José A. "Auditoría en informática". Editorial McGrawll - Hill México D.F. 1994. Celi A, Ernesto. "Separata de Auditoría en Sistemas", Universidad Nacional Pedro Ruiz Gallo. Lambayeque - Perú. Enero de1999. Dagoberto Pinilla, José. "Auditoría informática, aplicaciones en producción". Ecoe ediciones. Primera edición. Santa fe de Bogotá, D.C. Colombia. Febrero de 1997.
Grupo Editorial OCEANO. "OCEANO UNO COLOR - Diccionario Enciclopédico - Edición del milenio". España. 2001. Gustavo A. Solis Montes. "COBIT, Objetivos de Control". 2da Edición. España. Muñoz Razo Carlos, Auditoría en Sistemas Computacionales. Prentice Hall. 1era Edición 2002. México. Piattini Velthuis, Mario G. "Auditoría Informática, Un enfoque Práctico". Grupo Editor ALFAOMEGA S.A. Primera edición. Mexico 1998. LIBROS ELECTRONICOS Guillermo Ramírez. "La Seguridad Informática en su Empresa". Libro electrónico E-book. Emprendedor.com. 2002. Roberto Sobrinos Sánchez. "COBIT". Escuela Superior de Informática de Ciudad Real- Universidad de Castilla - La Mancha. Segunda Edición. Mayo 1999. Consejo Superior de Informática. "METRICA VERSION 3". España. Consejo Superior de Informática. "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información - MAGERIT". España. LINKS IMPORTANTES Information Systems Audit and Control Association. www.isaca.com, www.isaca.com/cl. MARGERIT. España. www.map.es. Artículo de Auditoría Informática www.gestiopolis.com. Instituto Nacional de Estadística e Informática www.inei.gob.pe. Empresa dedicada a la realización de auditorías en informática www.datasec.com. Pagína de búsqueda. Ensayo referido a Auditoría Informática www.monografias.com. Página de búsqueda. www.google.com. Entre otras.